Инсталлятор trojan-downloader.MSIL.Agent.alqa

[Madox]

Никак не удается победить гадский инсталлятор. После каждой перезагрузки  Kaspersky находит его, и ещё несколько malware и скаченные. Предлагает перезагрузить и очистить. И потом всё с начала. Прошу помощи экспертов. Спасибо!

CollectionLog-2017.02.20-22.32.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Divosh\plejither.exe','');
 QuarantineFile('C:\ProgramData\AppxadsulP\Don-Strong.dll','');
 SetServiceStart('AppxadsulP', 4);
 DeleteService('AppxadsulP');
 TerminateProcessByName('c:\programdata\appxadsulp\appxadsulp.exe');
 QuarantineFile('c:\programdata\appxadsulp\appxadsulp.exe','');
 DeleteFile('c:\programdata\appxadsulp\appxadsulp.exe','32');
 DeleteFile('C:\ProgramData\AppxadsulP\Don-Strong.dll','32');
 DeleteFile('C:\Program Files (x86)\Divosh\plejither.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Nimasy Engine','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Madox]

Спасибо большое. Скрипт вроде бы помог, теперь добиваю его остатки.

Ответ пришел такой:

[KLAN-5841883552]

Вредоносные программы не найдены в файлах:
appxadsulp.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.
 

[thyrex]

Ждем повторные логи

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Madox]

Прикрепил повторные логи.

Папку programdata\AppxadsulP перенес в другое место на всякий случай. Занимает целых 23 мб.

Ещё небольшой оффтопик можно? Почему при установке касперский интернет секьюрити не отключил встроенный в 10-ку дефендер? Это нормальное поведение или баг?

CollectionLog-2017.02.20-23.28.zip

[thyrex]

Ещё небольшой оффтопик можно? Почему при установке касперский интернет секьюрити не отключил встроенный в 10-ку дефендер?

Об этом после излечения зададите вопрос в ветке https://forum.kasperskyclub.ru/index.php?showforum=12

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Madox]

Отчет во вложении.

frst.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2017-02-20 08:45 - 2017-02-20 09:00 - 00000000 ____D C:\Users\Михаил\AppData\Roaming\MyDesktop
2017-02-20 08:44 - 2017-02-20 15:30 - 00000000 ____D C:\Users\Михаил\Downloads\Reozerph
2017-02-20 08:42 - 2017-02-20 09:06 - 00000000 ____D C:\Users\Михаил\Downloads\AlphaZozron
2017-02-17 19:56 - 2017-02-17 19:56 - 02956983 _____ C:\WINDOWS\8987ec9bce9047652dd2120c8d85eee2.exe
Task: {134D5431-F8FF-498E-8B81-CEF93CE27BBD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {311E63CE-5E89-4DA3-9035-E901AFD14064} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {5A828E76-F2A5-4E89-84EA-B865A19B712A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {74E0F608-900D-47B1-B8D3-072B96081AC2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {891D33F3-3C49-4633-AF00-D58AFDB052CA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {97CEF63A-5CB6-4C6D-9367-21DDF379F012} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {99397593-9DB2-4A2C-81C5-8115BA8F6303} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {A387C7AB-1E74-4923-AC19-8D0A3E1CCCA9} - \Nimasy Engine -> No File <==== ATTENTION
Task: {C00981E3-D8F0-4924-8C00-E8F912A07603} - \WPD\SqmUpload_S-1-5-21-4113871973-3519885256-707303308-1002 -> No File <==== ATTENTION
Task: {D03304DE-3084-43B2-8B09-EF96651335D1} - \Fix It Task -> No File <==== ATTENTION
Task: {E736D8CC-8BA5-4DE3-8F40-88E480950F62} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {EDF47336-E0D2-4D6C-AABC-23FEE55FF223} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {F08C991E-0F28-4F56-8E25-B518A50798C8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {FCD217AC-4B4C-4D01-9D55-238554ED4331} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "yGRwBtdeIa"
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "obOJwWc7tl"
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "cLGwzbflS6"
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "g3McMlR63z"
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "fPUZtuopOH"
HKU\S-1-5-21-4113871973-3519885256-707303308-1002\...\StartupApproved\Run: => "KSSEdv09C3"
FirewallRules: [{BF3A7FD3-A898-4112-9039-C5CFCCA428F6}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Madox]

Готово.

Fixlog.txt

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.